CRITICAL🇬🇧 English

CVE-2026-33454

Apache Camel: wstrzyknięcie nagłówków przez komponent Camel-Mail

CVSS 9.4v3.1pub. 2026-04-27upd. 2026-06-27

Komponent Camel-Mail nie filtruje przychodzących nagłówków MIME, co pozwala atakującemu na wstrzyknięcie nagłówków specyficznych dla Apache Camel poprzez spreparowaną wiadomość e-mail. Podatność jest krytyczna, ponieważ może prowadzić do zmiany zachowania tras przetwarzania danych w aplikacji bez jakiejkolwiek autoryzacji.

Pokaż oryginał (EN)

The Camel-Mail component is vulnerable to Camel message header injection. The custom header filter strategy used by the component (MailHeaderFilterStrategy) only filters the 'out' direction via setOutFilterStartsWith, while it does not configure the 'in' direction via setInFilterStartsWith. As a result, when a Camel application consumes mail through camel-mail (for example via from(\"imap://...\") or from(\"pop3://...\")) the inbound filter check is skipped and Camel-prefixed MIME headers are mapped unfiltered into the Exchange. An attacker who can deliver an email to a mailbox monitored by such a consumer can inject Camel-specific headers that, for some Camel components downstream of the mail consumer (such as camel-bean, camel-exec, or camel-sql), can alter the behaviour of the route. This is the same pattern that was previously addressed in camel-undertow (CVE-2025-30177) and the broader incoming-header filter (CVE-2025-27636 and CVE-2025-29891). This issue affects Apache Camel: from 3.0.0 before 4.14.6, from 4.15.0 before 4.18.1. Users are recommended to upgrade to version 4.19.0, which fixes the issue. If users are on the 4.18.x LTS releases stream, then they are suggested to upgrade to 4.18.1. If users are on the 4.14.x LTS releases stream, then they are suggested to upgrade to 4.14.6.

🤖 Analiza AI
Jak działa

Strategia filtrowania nagłówków MailHeaderFilterStrategy konfiguruje filtr wyłącznie dla kierunku wychodzącego (setOutFilterStartsWith), pomijając konfigurację filtrowania dla kierunku przychodzącego (setInFilterStartsWith). W efekcie, gdy aplikacja oparta na Apache Camel odbiera pocztę przez komponent camel-mail (np. via IMAP lub POP3), przychodzące nagłówki MIME z prefiksem Camel nie są filtrowane i trafiają bezpośrednio do obiektu Exchange. Atakujący, który jest w stanie dostarczyć wiadomość e-mail do skrzynki monitorowanej przez taki konsument, może wstrzyknąć nagłówki Camel wpływające na działanie komponentów dalszych w trasie, takich jak camel-bean, camel-exec czy camel-sql.

Skutki

Atakujący może zmodyfikować zachowanie trasy przetwarzania w aplikacji Apache Camel, potencjalnie prowadząc do nieautoryzowanego wykonania poleceń, manipulacji logiką biznesową lub uzyskania dostępu do wrażliwych danych — w zależności od komponentów użytych w dalszej części trasy.

Mitygacja

Należy zaktualizować Apache Camel do wersji 4.19.0. Użytkownicy gałęzi LTS 4.18.x powinni przejść na wersję 4.18.1, a użytkownicy gałęzi LTS 4.14.x — na wersję 4.14.6. Jako środek tymczasowy należy rozważyć ograniczenie dostępu do monitorowanych skrzynek pocztowych oraz weryfikację, czy trasy wykorzystują podatne komponenty downstream (camel-bean, camel-exec, camel-sql).

Kogo dotyczy

Apache Camel w wersjach od 3.0.0 do (wyłącznie) 4.14.6 oraz od 4.15.0 do (wyłącznie) 4.18.1, korzystający z komponentu camel-mail do odbioru wiadomości e-mail (IMAP, POP3)

Uwagi

Podatność jest kontynuacją wcześniej naprawianych problemów z filtrowaniem nagłówków przychodzących w Apache Camel: CVE-2025-30177 (komponent camel-undertow), CVE-2025-27636 oraz CVE-2025-29891 (ogólny filtr nagłówków przychodzących).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L
  • Apache Camel

    APP
    Apache
    3.0.0 – 4.14.6 (bez)4.15.0 – 4.18.1 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Deserialization
CWE
Referencje

Powiązane podatności

CVE-2026-47323CRITICAL9.8PL ✓ten sam produkt

Apache Camel: wstrzyknięcie nagłówków HTTP w camel-cxf i camel-knative (RCE)

CVE-2026-40860CRITICAL9.8PL ✓ten sam produkt

Apache Camel: niebezpieczna deserializacja JMS ObjectMessage prowadząca do RCE

CVE-2026-40453CRITICAL9.9PL ✓ten sam produkt

Apache Camel — obejście filtrowania nagłówków umożliwiające RCE

CVE-2026-33453CRITICAL10.0PL ✓ten sam produkt

Apache Camel camel-coap: RCE poprzez wstrzyknięcie nagłówków Camel

CVE-2026-23552CRITICAL9.1PL ✓ten sam produkt

Apache Camel: pominięcie weryfikacji issuer JWT w KeycloakSecurityPolicy

CVE-2026-33454 — Apache Camel: wstrzyknięcie nagłówków przez komponent Camel-Mail — CRITICAL 9.4 | CVEbaza.pl